Argitalpen data: 2020/05/21
Garrantzia:
Ertaina
Kaltetutako baliabideak:
Honako bertsioak:
Azalpena:
jQuery-k dituen bi segurtasun ahultasun
argitaratu dira, Drupal-en bertsio batzuei eragiten dietenak. Era berean,
Drupal 7-k duen birbideratze ireki erako beste ahultasun baten berri eman da.
Konponbidea:
8.8.6, 8.7.14 o 7.70 bertsioetara eguneratzea.
Xehetasuna:
- jQuery-k dituen XXL erako bi ahultasunak baliatuz, erasotzaile batek fidagarria ez den kodea exekuta lezake, fidagarriak ez diren jatorrietako HTML bat jQuery-ren DOM manipulazio metodoetako batera (hau da, .html(), .append(), eta beste batzuk) pasatzean, baita hura saneatu ondoren ere. Ahultasun horietarako CVE-2020-11022 eta CVE-2020-11023 identifikatzaileak erabili dira.
- drupal_goto() funtzioan xede den kontsultaren parametroaren baliozkotze ez-nahiko baten ondorioz, Drupal 7-k duen birbideratze ireki erako ahultasun bat baliatuz, erasotzaile batek erabiltzaileak engaina litzake bereziki diseinatutako lotura bat bisita dezaten, kanpoko URL arbitrario batera birbideratuko dituena.
Etiketak: Eguneraketa, CMS, Ahultasuna